De eventuele gevolgen van een harde Brexit op AVG en dataverkeer

Brexit beeld

Het is nog steeds onduidelijk wat voor soort Brexit we gaan krijgen op 12 april aanstaande.

Een harde Brexit per die datum behoort nog steeds tot de mogelijkheden. Dat heeft consequenties voor zorgorganisaties voor zover zij data uitwisselen met een partner in Groot-Brittannië. Maar ook als je data (waaronder kopieën en back-ups) opgeslagen hebt in dat land. Tot 12 april heb je de tijd om hier actie op te ondernemen. Doe je dat niet en komt er een harde Brexit  dan handelt jouw organisatie in strijd met de AVG.

Mogelijk een overgangsperiode, nog niet zeker

Dataverkeer is dan alleen nog mogelijk als je al de juiste stappen hebt gezet en actie hebt ondernomen. De mogelijkheid van een overgangsperiode bestaat, zeker is dat nog steeds niet. Ons advies is daarom, ga met de Britse partijen aan tafel zitten en anticipeer samen tijdig op wat er komen gaat met betrekking tot je dataverkeer bij een harde Brexit.

Groot-Brittannië wordt zogenaamd 'derde land'

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU (de zogenaamde derde landen) gelden aparte regels. Bij een harde Brexit is Groot-Brittannië ineens een derde land. De AVG is daar dan niet meer van toepassing. Juist nu is het dus van groot belang dat je goed afstemt en controleert dat de bescherming van persoonsgegevens die je wilt doorgeven klopt na een mogelijke harde Brexit. Het uitgangspunt is dan dat er na zo’n Brexit onvoldoende beschermingsniveau voor persoonsgegevens in Groot-Brittannië aanwezig is. Daarmee gaat de Autoriteit Persoonsgegevens (AP) dus uit van een hoger risico. Dat moet je snel melden bij de AP. De door jou gesignaleerde situatie wordt dan vooraf getoetst.

Advies: Voer nu een DPIA uit

Voer hoe dan ook nu een Data Protection Impact Analyse (DPIA) uit. Daarna weet je of er sprake is van een hoog risico, of deze weggenomen kan worden en hoe en wanneer. Ga bij die DPIA niet alleen na waar data wordt opgeslagen, maar ook waar de kopieën en back-ups daarvan worden opgeslagen. Dat laatste wordt nogal eens vergeten en staat (nog) niet in jouw Verwerkingsregister. De analyse van waar data en informatie rondzwerft is een stevige. Hiervoor zijn speciale tools en specialisten via Intrakoop verkrijgbaar. Waarschuwing: wees niet te laconiek. Ook hier geldt: Vertrouwen is goed, controle is beter! 

Het kan zijn dat je gebruik maakt van diensten van een IT-bedrijf voor de opslag van data. Dat bedrijf is dan een Verwerker in de zin van de AVG. Ook al is jouw IT-bedrijf niet in dat land gevestigd, het kan wel zijn dat er kopieën en back-ups in Groot-Brittannië staan. Dat zijn jouw data, ook als jij niet weet waar ze precies staan. In de zin van de AVG ben je daarvoor dus verantwoordelijk. Niets doen maakt dat je (als Verwerkingsverantwoordelijke) in overtreding bent mocht het tot een harde Brexit komen. Je moet daarom je IT-bedrijf nu al duidelijke instructies geven als aanvulling op de bestaande overeenkomst. Hulp hierbij kun je ook via Intrakoop krijgen.

Passend beschermingsniveau

De hoofdregel in de AVG is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Noorwegen, Liechtenstein en IJsland zijn de drie landen buiten de EU die en gelijkwaardig niveau van bescherming van persoonsgegevens kennen. Vooralsnog heeft Groot-Brittannië zich daarbij nog niet aangesloten. 

Om te zorgen dat de persoonsgegevens goed beveiligd worden, is een goed contract van groot belang. Daarmee wordt het vooral een juridische aangelegenheid om te checken of alles goed is afgesproken. Heb je met een Verwerker te maken, dan zal deze moeten aantonen dat dit op een juiste wijze juridisch is geregeld. Ons advies: Vraagt dat met spoed op bij je IT-bedrijf. 

Standaard modelcontracten

Om in al deze situaties tot een oplossing te komen zijn er standaard modelcontracten. (de zogenoemde EU Standard Contractual Clauses). Na het vaststellen van de juiste versie daarvan staat het organisaties vrij om deze contracten te gebruiken. Omdat de bepalingen in de privacy verordening precies vastleggen welke maatregelen van toepassing zijn om voldoende bescherming te bieden mogen ze niet gewijzigd worden. Laat je hierbij ondersteunen door een specialist, hiervoor kun je ook terecht bij Intrakoop.

 

Deel dit artikel